|
시만텍에서 등급을 4등급(여기서는 2등급에 해당함)을 발령했습니다. 안철수연구소는 오늘 아침 4시와 6시경에 정보를 긴급업데이트 하였으며 하우리는 오전 5시와 8시에 정보를 긴급업데이트를 하였습니다. 에브리존은 아직 정보 업데이트가 없습니다.
Netsky웜은 국외에서는 18일날 발견되었으며 국내에서는 19일날 발견되었습니다. 지금(오전 8시 35분)은 정보만 업데이트 되어 있고, 엔진(패턴)업데이트는 이루어 지지 않았습니다. 조금 있다가 엔진(패턴)업데이트를 하시길 바랍니다.
이하 아래는 Netsky웜의 정보 입니다. 참고하셔서 피해 없으시길 바랍니다.
[요 약]
2004년 2월 18일 외국에서 발견되었으며, 국내에도 2004년 2월 19일부터 급속히 확산중에 있다.
e메일과 네트워크 드라이브 또는 P2P 파일 공유 프로그램을 이용하여 확산되며, 특징적인 증상으로는 이미 알려진 몇 가지 웜이 기록해 놓은 레지스트리를 삭제하는 증상이 있다.
[확산 방법]
웜은 E-메일과 네트워크 드라이브 또는 P2P 파일 공유 프로그램을 이용하여 확산되는데, E-메일을 이용한 확산 대상은 아래의 확장명을 지닌 파일에서 메일 주소를 추출하여 결정한다.
.msg,.oft,.sht,.dbx,.tbb,.adb,.doc,.wab,.asp,.uin,.rtf,.vbs
.html,.htm,.pl,.php,.txt,.eml
추출한 메일 주소를 이용하여 다음과 같은 형식의 메일을 웜 자체의 내장된 SMTP엔진을 이용하여 발송 시킨다.
보낸 사람 : (보낸 사람 주소는 실제 웜에 감염된 사람과 다르거나 "skynet@skynet.de")
메일 제목 : (아래의 리스트중 하나로 선택된다.)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
메일 본문 : (아래의 본문 리스트중 선택된다.)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
첨부 파일 : (첨부 파일명은 파일명 + 임의적인 확장명 + 실제 확장명)으로 구성되는데, 파일명은 아래의 리스트에서 선택되어 진다.
- document
- msg
- doc
- talk
- message
- creditcard
- details
- attachment
- me
- stuff
- posting
- textfile
- concert
- information
- note
- bill
- swimmingpool
- product
- topseller
- ps
- shower
- aboutyou
- nomoney
- found
- story
- mails
- website
- friend
- jokes
- location
- final
- release
- dinner
- ranking
- object
- mail2
- part2
- disco
- party
- misc
중간 확장 명 : (다음의 리스트에서 하나 선택된다.)
- .doc
- .rtf
- .htm
- .text
마지막 확장 명 : (그리고 마지막으로 아래의 확장명 리스트에서 선택되어 완성된다.)
- .exe
- .scr
- .com
- .pif
두번째 확산 방법은 네트워크 공유 드라이브나 P2P 파일 공유 프로그램을 이용한 확산인데, 웜은 감염된 시스템을 조사하여 'share' 또는 'sharing' 디렉토리를 발견하면 아래와 같은 이름으로 사용자를 속여 웜 파일을 복사해 넣는다.
- doom2.doc.pif
- sex sex sex sex.doc.exe
- rfc compilation.doc.exe
- dictionary.doc.exe
- win longhorn.doc.exe
- e.book.doc.exe
- programming basics.doc.exe
- how to hack.doc.exe
- max payne 2.crack.exe
- e-book.archive.doc.exe
- virii.scr
- nero.7.exe
- eminem - lick my pussy.mp3.pif
- cool screensaver.scr
- serial.txt.exe
- office_crack.exe
- hardcore porn.jpg.exe
- angels.pif
- porno.scr
- matrix.scr
- photoshop 9 crack.exe
- strippoker.exe
- dolly_buster.jpg.pif
- winxp_crack.exe
[감염 후 증상]
1.실행되면 다음과 같은 메시지 박스를 출력하여 마치 오류가 발생한 것 처럼 사용자를 속인다.
타이틀 : Error
메시지 : The file could not be opened!
2.윈도우 폴더에 "Services.exe"라는 이름으로 웜을 복사해 넣는다.
*참고 사항 : "윈도우 폴더"란 윈도우 95/98/ME/XP에서는 일반적으로 C:\Windows이고 윈도우NT/2000 시스템에서는 C:\WINNT폴더 이다.
3.증상 2번에서 생성시킨 파일을 다음의 레지스트리에 등록하여 재 부팅시 자동으로 실행되도록 한다.
- HKEY_LOCAL_MACHINE\
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
이 름 : service
데이터 : (윈도우 폴더)\services.exe -serv
3.이미 알려진 몇가지 웜이 기록해 놓은 레지스트리를 삭제 시켜 재 부팅시 자동으로 실행되지 못하도록 만든다.
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Explorer
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : system.
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
RunServices\
이 름 : system.
- HKEY_CURRENT_USER\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
- HKEY_CURRENT_USER\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Explorer
|
